次の方法で共有

Edge for Business でのクラウド アプリのデータ損失防止について説明します

Microsoft Purview データ損失防止 (DLP) の監視と保護は、Microsoft Edge for Business ブラウザーに組み込まれています。 デバイスを Microsoft Purview にオンボードする必要はありません。 この統合により、Edge for Business を使用してクラウド アプリとの間で機密情報を共有できないようにすることができます。

開始する前に

Microsoft Purview コレクション ポリシー、Microsoft Purview 従量課金制課金モデル、または Microsoft Purview DLP を初めて使用する場合は、次の記事の情報を理解しておく必要があります。

ライセンス

ライセンスの詳細については、次を参照してください。

管理対象デバイスから Edge for Business のアンマネージド アプリに共有されるデータを保護することは、従量課金制の機能です。 詳細については、「 従量課金制機能の詳細」を参照してください。 従量課金制課金モデルを設定する方法については、「 新しい顧客に対して Microsoft Purview 従量課金制機能を有効にする」を参照してください。

Edge for Business の使用中にMicrosoft Entra登録済み (マネージド) アプリのデータが保護されるシナリオは、Microsoft 365 E5または同等のライセンスに含まれます。 

アクセス許可

Microsoft Purview DLP ポリシーを作成して展開するためのアクセス許可については、こちらを参照してください

Purview 以外の前提条件と構成にもアクセス許可が必要です。 必要なアクセス許可の詳細については、「 サポートされているクラウド アプリ」を参照してください。

マネージド デバイス

Intuneによって管理されるWindows 10/11 デバイスを保護できます。 ユーザーは職場または学校アカウントでサインインする必要があります。

これらのデバイスでは、Edge for Business は Microsoft Purview および Microsoft Edge サービスと直接接続して、ポリシーの更新プログラムを取得し、保護を適用します。 Microsoft Edge 構成ポリシーは、 保護されていないブラウザーで保護されたアンマネージド クラウド アプリをユーザーが使用できないようにブロックします。 保護されていないブラウザーでアンマネージド アプリにアクセスしようとすると、ユーザーはブロックされ、Edge for Business を使用する必要があります。

Purview DLP ポリシーは、 管理対象デバイスから管理されていない AI アプリへの Edge for Business 経由での共有を防ぐのに役立ちます

Purview コレクション ポリシー は、管理対象デバイスからのアンマネージド AI アプリとの対話に適用できます。

非管理対象デバイス

管理されていないデバイスは、Intuneに接続されていないか、Microsoft Entraを使用してorganizationに参加していません。 ユーザーは職場または学校アカウントでデバイスにサインインしません。 代わりに、Edge for Business 仕事用プロファイルにサインインして、マネージド アプリorganizationアクセスします。

Edge for Business では、非管理対象デバイスの DLP ポリシーが仕事用プロファイルにのみ適用されます。 これらのポリシーは、ユーザーが個人用または InPrivate プロファイルを選択した場合には適用されません。 管理されていないデバイス上の管理対象アプリにポリシーをターゲットにする場合は、Edge for Business で仕事用プロファイルを適用する必要があります。 管理されていないデバイスの保護は、 ユーザーが Edge for Business のクラウド アプリと機密情報を共有できないようにするのに役立ちます

サポートされているクラウド アプリ

接続済み (マネージド) アプリのMicrosoft Entra

Microsoft Entra接続 (マネージド) アプリは、Microsoft Entra シングル Sign-On (SSO) 用に設定されたビジネス アプリです。 ポリシーは、ユーザーが職場または学校アカウントでアクセスするときに適用されます。 Edge for Business のマネージド アプリのポリシーは、アンマネージド デバイスとマネージド デバイスでサポートされています。

マネージド アプリに適用するポリシーを作成および管理するには、Edge In-Browser 保護条件付きアクセス管理とMicrosoft Defenderに追加のアクセス許可が必要です。

アンマネージド クラウド アプリ

これらのアプリは、organizationによって管理されません。 ユーザーは、Microsoft の職場または学校アカウントでサインインせずにアクセスします。 Edge for Business のアンマネージド クラウド アプリのポリシーは、Intuneマネージド デバイスでサポートされています。

Edge for Business のブラウザー ポリシーでは、次のアンマネージド クラウド アプリがサポートされています。

  • Adobe Firefly

  • CapCut

  • ChatGPT (コンシューマー)

  • Cohere

  • DeepAI

  • DeepL

  • DeepSeek

  • Google Gemini

  • Grok (xAI)

  • メタ AI

  • Microsoft Copilot 365 チャット

  • 概念 AI

  • Otter.ai

  • 困惑 AI

  • QwenAI

  • Qwen Chat

  • 滑走 路

  • Textcortex

  • Textcortex Zenochat

  • You (You.com)

  • Zapier

重要

アンマネージド クラウド アプリの機能は、コンシューマー バージョンのMicrosoft 365 Copilotにのみ適用されます。 エンタープライズ保護のMicrosoft 365 Copilotの詳細については、こちらをご覧ください

管理対象デバイスからアンマネージド アプリへの共有から保護するのに役立つ DLP ポリシーを作成するには、使用するアカウントをサービス プリンシパルを作成できるロールに割り当てる必要があります。また、Microsoft Intune管理Microsoft Edge 管理には追加のアクセス許可が必要です。

サポートされているブラウザー

ブラウザーのクラウド アプリの DLP ポリシーは、Edge for Business で直接機能します。

Edge for Business

これらの機能は、バージョン 144 以降の 2 つの最新の安定したバージョンの Edge for Business で利用できます。 Edge for Business のバージョンの詳細については、「 Microsoft Edge リリース」を参照してください。

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

監視と対処が必要なアクティビティ

ブラウザーで機密アイテムに対してこれらのアクティビティを監査および管理できます。

アクティビティ デバイスの種類 アプリの種類 サポートされているポリシー アクション
テキストのアップロード 管理対象 アンマネージ 許可、ブロック、両方のアクションの監査
ファイルのアップロード マネージド、アンマネージド マネージド、アンマネージド 許可、ブロック、両方のアクションの監査
ファイルをダウンロードする マネージド、アンマネージド 管理対象 許可、ブロック、両方のアクションの監査
データの切り取り/コピー マネージド、アンマネージド 管理対象 許可、ブロック、両方のアクションの監査
データの貼り付け マネージド、アンマネージド 管理対象 許可、ブロック、両方のアクションの監査
データの印刷 マネージド、アンマネージド 管理対象 許可、ブロック、両方のアクションの監査
保護されたクリップボード (プレビュー) マネージド、アンマネージド 管理対象 Microsoft Edge で保護されたクリップボード (プレビュー) を参照してください
スクリーン キャプチャ (プレビュー) マネージド、アンマネージド 管理対象 Microsoft Edge で保護されたクリップボード (プレビュー) を参照してください

マネージド アプリの相互作用に関するポリシー

ブラウザーでマネージド アプリを対象とする DLP ポリシーは、ユーザーが Edge for Business 仕事用プロファイルにサインインしたときに、Windows 10/11 の Edge for Business および macOS デスクトップ デバイスに適用されます。

Edge for Business では、(監査モードとブロック モードの両方で) ポリシーがマネージド アプリに適用されると、開発者ツールが自動的に無効になり、ネイティブ クライアントでアプリが開かなくなるのをブロックします。

マネージド アプリの Edge for Business 仕事用プロファイルで保護をアクティブにするには:

実装の詳細については、「 ユーザーが Edge for Business の Cloud Apps と機密情報を共有できないようにする」を参照してください。

重要

ユーザーが Microsoft Purview マネージド クラウド アプリ DLP ポリシー、Microsoft Defender セッション ポリシーまたは Microsoft Purview エンドポイント DLP ポリシーの両方のスコープ内にある場合、管理対象アプリに対する保護は、Microsoft Purview ブラウザー ポリシーを含む管理対象アプリに適用されない可能性があります。 Edge for Business ポリシーのマネージド クラウド アプリのエンドポイント DLP ポリシーを正しく適用するには、Microsoft Defenderおよびエンドポイント DLP ポリシーからユーザーを削除または除外する必要があります。

ユーザーを初めてポリシーに追加すると、アプリに既にサインインしている場合、ポリシーがすぐに適用されない可能性があります。 ポリシーは、トークンの有効期限が切れ、再度サインインした後に適用されます。 条件付きアクセス セッション制御を使用して サインインの頻度を変更 して、待機時間を短縮できます。

条件付きアクセス アプリ制御には、ブラウザーでマネージド アプリを対象とする Microsoft Purview ポリシーに影響を与える可能性がある既知の制限事項がいくつかあります。 詳細については、「条件付きアクセス アプリ制御」の既知の制限事項に関するページを参照してください。

アンマネージド アプリの相互作用に関するポリシー

ブラウザーで管理されていないアプリを対象とする DLP ポリシーは、Microsoft Intuneによって管理される Windows 10/11 デスクトップ デバイスの Edge for Business に適用されます。 セットアップの詳細については、「 管理対象デバイスから管理されていない AI アプリへの Edge for Business 経由での共有を禁止する」を参照してください。

Edge for Business での保護のアクティブ化は、次のフェーズに従います。

Microsoft AI 用データ セキュリティ態勢管理 からのアンマネージド AI アプリの既定のポリシー

AI 用 Microsoft Purview データ セキュリティ態勢管理 (AI 用DSPM) には、サポートされているアンマネージドジェネレーティブ AI アプリを監視およびブロックするための推奨ポリシーが用意されています。 AI 用のDSPMでワンクリック ポリシーを使用して適用します。

マネージド アプリの操作からデータにアクセスする

ポリシー データとアラートは、Defender XDR調査で表示できます。

アンマネージド アプリの操作からデータにアクセスする

アクティビティ エクスプローラー、監査ログ、およびDefender XDR調査アクティビティと監査ログ エントリを表示できます。 アクティビティ エクスプローラーで、適用プレーンでフィルター処理をブラウザーに設定します。 AI アプリに固有のデータは、AI のDSPMにも表示されます。

関連項目

  • Last updated on